Instaladores falsos do 7-Zip usados para criar rede de proxies residenciais
O ator de ameaças 'Lurking Lizard' tem operado um serviço de proxy malicioso usando instaladores falsos de software desde 2022. Mais de 230 domínios foram usados para distribuir malware disfarçado como aplicações legítimas.
TL;DR
- Grupo de criminosos cibernéticos 'Lurking Lizard' operou uma rede de proxies residenciais usando instaladores falsos do 7-Zip.
- Mais de 230 domínios semelhantes foram usados na campanha desde agosto de 2022.
- Dispositivos infectados se tornaram nós de proxy sem conhecimento do usuário.
- A operação foi descoberta pela empresa de inteligência de ameaças baseada em DNS Infoblox.
- Organizações devem verificar fontes de software e monitorar atividades incomuns na rede.
Um grupo de ciberataque recentemente identificado chamado Lurking Lizard tem operado uma ampla rede de proxies residenciais distribuindo malware por meio de instaladores de software falsificados. Os atacantes utilizaram mais de 230 domínios enganosos que imitavam serviços legítimos para enganar os usuários e fazê-los instalar cargas maliciosas disfarçadas como ferramentas populares, como o 7-Zip.
De acordo com pesquisa da provedora de inteligência de ameaças baseada em DNS Infoblox, essa atividade vem ocorrendo desde pelo menos agosto de 2022. Uma vez instalados, esses aplicativos falsos transformavam secretamente dispositivos das vítimas em nós de proxy, permitindo que os atacantes encaminhassem tráfego através de pontos finais inocentes. Esse método permite que agentes maliciosos ocultem sua verdadeira origem e evitem detecção enquanto realizam diversas atividades online.
Vetor de Ataque e Infraestrutura
- O Lurking Lizard criou mais de 230 domínios projetados para imitar distribuidores confiáveis de software.
- A isca principal foi um instalador falso do 7-Zip que parecia legítimo para os usuários finais.
- Os domínios eram usados para hospedar malware que convertia silenciosamente dispositivos em nós de proxy residenciais.
- O tráfego roteado através desses proxies poderia ser usado para anonimizar operações maliciosas.
Detecção e Mitigação
- A Infoblox detectou a campanha por meio do monitoramento de inteligência de ameaças baseado em DNS.
- As organizações devem implementar listas de permissões de aplicativos para prevenir instalações não autorizadas de softwares.
- Monitoramento de rede pode ajudar a detectar conexões anômalas indicativas de comportamento de proxy.
- Usuários devem baixar softwares apenas diretamente dos sites oficiais dos fornecedores ou gerenciadores de pacotes verificados.
- Equipes de segurança devem revisar registros DNS buscando conexões com domínios suspeitos ou registrados recentemente.
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.